Case Studies

חברת X שיפרה את שיעור ההצלחה של ההתחברות פי 2 אחרי שהטמיעה מפתחות גישה

3 דקות קריאה

מחדשות מרעישות ובידור ועד ספורט ופוליטיקה, X היא אפליקציית מדיה חברתית שמטרתה לעזור לכמעט 500 מיליון משתמשים ברחבי העולם לקבל את הסיפור המלא עם כל הפרשנויות בשידור חי. לאחרונה, מפתחי X שיפצו את תהליך הכניסה לאפליקציית Android, כדי שהמשתמשים לא יפספסו אף שיחה שמעניינת אותם. באמצעות Credential Manager API, הצוות הטמיע אימות חדש באמצעות מפתחות גישה כדי לאפשר גישה מהירה, קלה ובטוחה יותר לאפליקציה.

כניסה לחשבון עם מפתחות גישה – פשוטה יותר

כיום, מערכות אימות מסורתיות שמבוססות על סיסמאות הן פחות מאובטחות ומועדות יותר להתקפות סייבר. משתמשים רבים בוחרים סיסמאות שקל לנחש, וגורמים זדוניים יכולים לפרוץ אותן בקלות באמצעות התקפות ברוט פורס. בנוסף, הם משתמשים באותן סיסמאות בכמה חשבונות, כך שאם סיסמה אחת נפרצת, כל החשבונות נפרצים.

מפתחות גישה נותנים מענה לדאגה הגוברת לגבי אבטחת חשבונות מפני סיסמאות חלשות ומתקפות פישינג, כי הם מבטלים לחלוטין את הצורך בסיסמאות. התכונה מספקת חוויית כניסה בטוחה וחלקה יותר, ופוטרת את המשתמשים מהצורך לזכור את שמות המשתמש או הסיסמאות שלהם.

קיילי מקרוברטס, ראש מחלקת הבטיחות ב-X, אמרה: 'מפתחות גישה הם דרך פשוטה ומאובטחת יותר להתחבר לחשבון. הם מחליפים את הסיסמאות בקוד אימות או בנתונים ביומטריים כמו טביעות אצבע או זיהוי פנים'. "בדקנו את האפשרות להשתמש במפתחות גישה כדי להקל על המשתמשים להיכנס לחשבונות שלהם בצורה בטוחה יותר, וכך לעזור להם להגן על החשבונות בלי הצורך לזכור סיסמאות".

מאז הטמעת מפתחות הגישה, צוות X הבחין בירידה משמעותית בזמני הכניסה ובמדדים שמראים שיפור בתהליך הכניסה. עם מפתחות הגישה, שיעור הכניסה המוצלחת לאפליקציה הוכפל בהשוואה למצב שבו הסתמכו רק על סיסמאות. בנוסף, הצוות הבחין בירידה במספר הבקשות לאיפוס סיסמאות ממשתמשים שהפעילו מפתחות גישה.

לדברי מפתחים ב-X, השימוש במפתחות גישה הביא ליתרונות נוספים מעבר לאבטחה משופרת ולחוויית כניסה פשוטה יותר, כמו עלויות נמוכות יותר ושיפור חוויית המשתמש.

"מפתחות הגישה אפשרו לנו לצמצם את ההוצאות שקשורות לאימות דו-שלבי מבוסס-SMS, כי הם מציעים אימות חזק ומוטמע", אומרת קיילי. "בנוסף, תהליך הכניסה הפשוט מעודד את המשתמשים להשתמש בפלטפורמה שלנו, כי הם לא צריכים לזכור סיסמאות או לאפס אותן".

מפתחות גישה מתבססים על קריפטוגרפיה של מפתח ציבורי כדי לאמת משתמשים ולספק להם מפתחות פרטיים. כלומר, אתרים ואפליקציות יכולים לראות ולאחסן את המפתח הציבורי, אבל לא את המפתח הפרטי, שמוצפן ומאוחסן על ידי ספק האישורים של המשתמש. המפתחות הם ייחודיים ומקושרים לאתר או לאפליקציה, ולכן אי אפשר להשיג אותם בפישינג, מה שמגביר את רמת האבטחה שלהם.

xSaurabh.png

שילוב חלק באמצעות Credential Manager API

כדי לשלב מפתחות גישה, מפתחי X השתמשו ב-Credential Manager API של Android, שהפך את התהליך ל"חלק במיוחד", לדברי קיילי. ה-API מאחד את Smart Lock,‏ One Tap וכניסה באמצעות Google לתהליך עבודה יחיד ויעיל. השינוי הזה גם אפשר למפתחים להסיר מאות שורות קוד, מה ששיפר את ההטמעה וצמצם את עלויות התחזוקה.

בסופו של דבר, ההעברה ל-Credential Manager נמשכה שבועיים בלבד עבור X מפתחים, ולאחר מכן עוד שבועיים כדי לתמוך באופן מלא במפתחות גישה. זו הייתה 'העברה מהירה מאוד' והצוות 'לא ציפה שזה יהיה כל כך פשוט וקל', אמר סוראב ארורה, מהנדס צוות ב-X. הודות ל-API הפשוט של Credential Manager, שמבוסס על קורוטינות, מורכבויות הטיפול בכמה אפשרויות אימות נעלמו למעשה, מה שהוביל לצמצום כמות הקוד, להפחתת הסיכויים לבאגים ולשיפור מאמצי הפיתוח הכוללים.

X developers saw a significant improvement in developer velocity by integrating the Credential Manager API. בעקבות המעבר שלהם לשימוש במפתחות גישה באמצעות Credential Manager API, הם השיגו:

  • צמצום של 80% בכמות הקוד במודול האימות
  • 90% פתרון של באגים במקרים קיצוניים בגרסאות קודמות
  • ירידה של 85% בכמות הקוד לטיפול ב-GIS, בכניסה בלחיצה אחת וב-Smart Lock

השימוש בשיטות ברמה העליונה של Credential Manager API, כמו createCredential ו-getCredential, מפשט את השילוב על ידי הסרת מורכבויות של לוגיקה מותאמת אישית שקשורות לפרוטוקולים נפרדים. הגישה האחידה הזו גם אפשרה למפתחים של X להשתמש בממשק יחיד ועקבי כדי לטפל בסוגים שונים של אימות, כמו מפתחות גישה, סיסמאות וכניסות מאוחדות כמו כניסה באמצעות חשבון Google.

"עם שיטות ה-API הפשוטות של Credential Manager, יכולנו לאחזר מפתחות גישה, סיסמאות ואסימונים מאוחדים באמצעות קריאה אחת, וכך לצמצם את הלוגיקה של הסתעפות ולטפל בתגובות בצורה נקייה יותר", אמר סוראב. "שימוש בשיטות שונות של API, כמו createCredential() ו-getCredential(), גם פישט את אחסון פרטי הכניסה, ואיפשר לנו לנהל סיסמאות ומפתחות גישה במקום אחד".

X developers didn’t face many challenges when adopting Sign in With Google using the Credential Manager API. החלפת הקוד הקודם של 'כניסה באמצעות חשבון Google', 'הקשה אחת' ו-Smart Lock ב-X בהטמעה פשוטה יותר של Credential Manager, פירושה שמפתחים לא צריכים יותר לטפל בסטטוסים של חיבור או ניתוק ובתוצאות של פעילות, וכך מצטמצם טווח השגיאות.

passkeys.png

עתיד עם מפתחות גישה

השילוב של מפתחות גישה ב-X מוכיח שאפשר ליצור חוויית אימות מאובטחת וידידותית יותר למשתמשים. באמצעות Credential Manager API, מפתחי X פישטו את תהליך השילוב, צמצמו את הסיכון לבאגים ושיפרו את האבטחה ואת מהירות הפיתוח – וכל זאת תוך שיפור חוויית המשתמש.

"ההמלצה שלנו למפתחים ששוקלים לשלב מפתחות גישה היא להשתמש ב-Credential Manager API", אומר סוראב. "הכלי הזה מפשט מאוד את התהליך ומפחית את כמות הקוד שצריך לכתוב ולתחזק, וכך משפר את ההטמעה עבור המפתחים".

בעתיד, X מתכננת לשפר עוד יותר את חוויית המשתמש על ידי מתן אפשרות להירשם באמצעות מפתחות גישה בלבד, ועל ידי הוספת מסך ייעודי לניהול מפתחות גישה.

שנתחיל?

כך משתמשים במפתחות גישה וב-Credential Manager API כדי לשפר את חוויית המשתמש בכניסה לאפליקציה.

נכתב על ידי:
להמשך קריאה